Une première certification officielle de sécurité internet pour Conceptexpo Project ! La démarche d’accompagnement par COMPUTERLAND a permis d’obtenir le certificat Cyber Essentials.
Pour Conceptexpo Project, créateur de projets d’aménagement et de communication, une meilleure protection contre les menaces d’Internet devenait une priorité.
Occupant une cinquantaine de personnes dans le zoning de Wavre, cette PME en croissance opère en effet dans un monde mobile et de plus en plus connecté, également de plus en plus vulnérable aux attaques d’Internet.
La cybersécurité étant un sujet fort vaste et plutôt abstrait, Conceptexpo Project recherchait un conseil et une technologie de pointe intégrés dans une approche globale sur le sujet. C’est sur ce point que l’accompagnement proposé par COMPUTERLAND se différenciait d’autres offres disponibles sur le marché.
Tirer profit d’une certification existante, éprouvée et indépendante
Partenaire de confiance de Conceptexpo Project, COMPUTERLAND proposait une démarche d’accompagnement dans le cheminement de certification Cyber Essentials. Une belle opportunité en réponse à la stratégie de sécurité décrite ci-avant !
Développé pour les entreprises afin de prouver leur maturité en matière de cybersécurité, Cyber Essentials est un schéma financé par le gouvernement anglais. Il est également supporté par l’industrie afin de guider les entreprises à se protéger contre les menaces d’Internet.
En pratique ?
COMPUTERLAND a mis en place une démarche d’accompagnement standardisée dans le processus de certification de Conceptexpo Project, en 4 étapes :
- audit « as it » : étude du niveau de sécurité de l’infrastructure existante
- rapport d’audit : reprenant les points conformes, les points défaillants et les recommandations pour une mise en conformité
- recommandations : définition du programme de remédiation pour répondre aux faiblesses potentiellement détectées. Mise en application de ce dernier.
- préparation du dossier de certification.
Le processus de certification proprement dit est effectué entre Conceptexpo Project et l’organisme certificateur, avec l’aide de COMPUTERLAND.
Un questionnaire complet
Le contenu de la certification reprend une
liste de 34 questions dans les
5 domaines d’application suivants :
- Boundary Firewalls and Internet Gateways
- Secure Configuration
- Access Control
- Malware Protection
- Patch Management.
Pour information, chaque société peut, si elle le souhaite, définir un
périmètre pour limiter la certification à :
- une sous-entité de l’entreprise
- une activité particulière
- un site précis.
En termes de
licensing, tous les systèmes et logiciels repris dans le périmètre défini doivent être en ordre de licence auprès des éditeurs concernés.
Enfin, au niveau
support, tous les systèmes d’exploitation, logiciels et applications concernés doivent être officiellement couverts par l’éditeur en termes de mises à jour de sécurité.
Des critères de certification précis
26 critères sont d’application, dans les
5 domaines d’application décrits ci-avant. Ils ont été utilisés dans le contexte suivant :
- chaque élément présent dans le périmètre défini doit être vérifié par rapport à ces critères
- tous les critères ne s’appliquent pas à tous les éléments
- la non-conformité de certains éléments à certains critères est acceptée quand il y a des impossibilités techniques. Dans ce cas, des mesures alternatives doivent être mises en place afin de limiter les risques.